Divulgation responsable

Documentation Index

Fetch the complete documentation index at: https://docs.raydium.io/llms.txt

Use this file to discover all available pages before exploring further.

​

Périmètre

​

Couvert par la bounty (rémunéré)

La bounty s’applique uniquement au code du programme on-chain déployé :

• Programmes déployés aux identifiants de programme dans reference/program-addresses :
  • AMM v4 (675kPX9MHTjS2zt1qfr1NYHuzeLXfQM9H24wFSUt1Mp8)
  • CPMM (CPMMoo8L3F4NbTegBCKVNunggL7H1ZpdTHKxQB5qKP1C)
  • CLMM (CAMMCzo5YL8w4VFF8KVHrK22GGUsp5VTaW7grrKgrWqK)
  • Stable AMM (5quBtoiQqxF9Jv6KYKctB59NT3gtJD2Y65kdnB1Uev3h)
  • LaunchLab (LanMV9sAd7wArD4vJFi2qDdfnVhFxYSUg6eADduJ3uj)
  • Farm v3 / v5 / v6
  • LP-Lock / Burn & Earn (LockrWmn6K5twhz3y9w1dQERbmgSaRkfnTeTKbpofwE)
  • AMM Routing
• Bugs de composabilité CPI des smart contracts où l’utilisation correcte d’un programme Raydium par un programme composant provoque le dysfonctionnement du programme Raydium lui-même.

​

Non couvert par la bounty (bienvenue à signaler — voir ci-dessous)

• Raydium SDK v2 (@raydium-io/raydium-sdk-v2) sur npm.
• API REST (tous les serveurs listés dans l’onglet Référence API — api-v3.raydium.io, transaction-v1.raydium.io, launch-*-v1.raydium.io, etc.).
• Frontend (raydium.io) — incluant XSS, CSRF, bugs de flux d’authentification, spoofing de portefeuille, états UI cassés.
• Indexeurs hors chaîne, passerelles image / IPFS et toute autre infrastructure qui fournit des données à l’UI.

Ceux-ci ne sont pas rémunérés. Les rapports sont toujours bienvenue et utiles — soumettez-les via le canal hors bounty ci-dessous.

​

Hors du périmètre (inéligible en totalité)

• Les programmes tiers qui se composent avec Raydium (signaler à leurs équipes).
• Les agrégateurs tiers qui routent via Raydium (ex. Jupiter).
• Les outils hors chaîne non maintenus par Raydium (SDKs communautaires en Python, bots tiers, etc.).
• Les attaques d’ingénierie sociale contre les membres de l’équipe Raydium.
• Tout résultat nécessitant la collusion du côté des validateurs ou des attaques à majorité de mise (ceci relève de la couche Solana, pas d’une cible de bounty DeFi).
• DoS via spam des points de terminaison publics RPC.
• Résultats des outils de scan automatisés sans preuve de concept fonctionnelle.

​

Zone grise — discuter d’abord

• Bugs dans les primitives de résistance MEV qui interagissent avec une infrastructure externe.
• Cas limites d’intégration Token-2022 où le comportement « correct » est ambigu.
• Attaques économiques / théoriques de jeu qui ne correspondent pas nettement à un bug de code.

En cas de doute, privilégiez le signalement.

​

Grille de gravité

Les récompenses sont basées sur un mélange de gravité et d’impact économique. Exemples par niveau :

​

Critique — $100 000 à $500 000

• Drainage des fonds LP de tout utilisateur via une instruction Raydium valide.
• Création illimitée de jetons LP.
• Contournement de l’autorité de mise à niveau du programme.
• Bug de vol de tous les frais du protocole.
• Corruption permanente de la comptabilité du pool d’une manière qui entrave les futurs LPs.

​

Élevé — $25 000 à $100 000

• Vol des récompenses en attente dans les fermes ou les positions CLMM.
• Gel de la position d’un utilisateur (il ne peut pas la fermer) via une tx malveillante.
• Manipulation des mathématiques du pool pour permettre une extraction rentable avec un capital modéré.
• Contournement de la protection du slippage.

​

Moyen — $5 000 à $25 000

• DoS exploitable d’un pool spécifique (tous les swaps échouent).
• Erreurs d’arrondi qui favorisent systématiquement les attaquants, cumulées sur plusieurs swaps.
• Méscomptabilisation des frais bénéficiant à certains utilisateurs aux dépens d’autres.
• Corruption du tableau des ticks du CLMM nécessitant une intervention manuelle d’admin pour être réparée.

​

Faible — $500 à $5 000

• Bugs de divulgation d’information (exposer l’état non public).
• Flaws dans la gestion des erreurs qui rendent le diagnostic plus difficile.
• Cas limites qui échouent proprement mais auraient dû être traités gracieusement.
• Coquilles dans les messages d’erreur causant de la confusion.

​

Informatif — Pas de récompense (mais reconnaissance)

• Suggestions d’amélioration de la qualité du code.
• Améliorations de documentation.
• Optimisations de gaz sans implications de sécurité.

​

Multiplicateur d’impact économique

Pour les bugs qualifiables de niveau, la récompense est davantage pondérée par :

• Potentiel de perte directe — combien de TVL peut être pratiquement extrait ?
• Exploitabilité — est-ce facilement appelable ou nécessite-t-il des conditions précises ?
• Reproductibilité — l’exploit fonctionne-t-il à chaque fois ou seulement dans des conditions rares ?

Un bug de gravité critique affectant un pool de $10M paie plus qu’un bug de gravité critique affectant un pool de $100k, bien que tous deux soient critiques.

​

Canaux de contact

​

Principal : Immunefi

La bounty sur les bugs de Raydium est listée sur Immunefi. Signalez via la plateforme Immunefi :

1. Créez un compte Immunefi.
2. Naviguez vers la page de la bounty Raydium.
3. Soumettez le résultat avec PoC complet.
4. Le triage se fait généralement dans les 24 heures.

Immunefi gère l’escrow et le paiement une fois le résultat confirmé.

​

Direct (pour les résultats critiques et sensibles au temps)

Si le résultat est en cours d’exploitation ou imminent et que vous ne pouvez pas attendre le triage Immunefi, le chemin secondaire le plus rapide est :

• Le bouton d’urgence d’Immunefi sur la page de la bounty — escalade en quelques minutes pendant les heures de bureau.
• Contact chiffré via Immunefi — Immunefi peut relayer un message chiffré de bout en bout à l’équipe Raydium.

Évitez les canaux publics (X / Twitter, Telegram, Discord) pour les rapports de sécurité — la divulgation elle-même peut déclencher une exploitation. Utilisez Immunefi pour le rapport et tout canal de contact direct établi par la suite.

​

Rapports hors bounty (SDK / API / UI)

Pour les problèmes dans les composants en dehors de la bounty — le SDK, les API REST, le frontend raydium.io ou toute infrastructure hors chaîne — il n’y a pas de récompense, mais l’équipe veut toujours en être informée. Utilisez :

• Email : security@raydium.io pour tout ce qui a des implications de sécurité (XSS, CSRF, fuites de flux d’authentification, replay de message signé, spoofing de portefeuille, données sensibles exposées par une API, etc.). Chiffrez avec la clé PGP de l’équipe si le bug est sensible ; demandez dans l’email et l’équipe échangera les clés.
• GitHub Issues : pour les bugs fonctionnels non-sécurité dans le SDK, les docs ou tout repo open-source maintenu par Raydium. Ouvrez une issue sur le repository pertinent (ex. raydium-io/raydium-sdk-V2).
• Discord (discord.gg/raydium) : bien pour les retours UI / UX à faible impact qui ne touchent pas la sécurité. Ne publiez pas quoi que ce soit qui pourrait permettre une exploitation si lu par un étranger.

Ce que vous obtenez des rapports hors bounty :

• Reconnaissance dans la réponse en quelques jours ouvrables.
• Coordination entre repos si le correctif s’étend sur le programme et le SDK.
• Crédit public (avec votre consentement) dans le changelog pertinent ou les notes de version.
• Les rapporteurs réguliers de résultats substantiels sont parfois invités à un programme de contributeurs ; ce chemin est séparé de la bounty on-chain et est offert sur base discrétionnaire.

Ce que vous n’obtenez pas :

• Une récompense échelonnée, quelle que soit la gravité. La bounty est pour les résultats du code du programme.
• Une couverture sous la politique de port sûr ci-dessous — cette politique se réfère spécifiquement à la recherche du périmètre de la bounty. Pour les tests SDK / API / UI, suivez les conventions standard de divulgation responsable et les conditions de service standards.

​

Règles d’engagement

​

À faire

• Utilisez vos propres fonds sur mainnet pour la preuve de concept (petits montants).
• Développez sur devnet ou un validateur mainnet forké quand c’est possible.
• Incluez une PoC fonctionnelle dans le rapport.
• Estimez l’impact économique selon vos meilleures connaissances.
• Proposez un correctif si vous en avez une en tête.

​

À ne pas faire

• Divulguer publiquement la vulnérabilité avant qu’un correctif ne soit déployé.
• Tenter d’extraire plus de fonds que nécessaire pour démontrer le bug.
• Mener des attaques contre les fonds d’autres utilisateurs.
• Soumettre le même résultat sur plusieurs plateformes (Immunefi, Twitter DM, email).
• Tenter l’ingénierie sociale contre les membres de l’équipe Raydium.
• Tester l’authentification ou le DoS contre l’infrastructure raydium.io.

Les violations de ces règles invalident la bounty.

​

Calendrier de réponse

Pour les résultats critiques, la piste de correctif s’accélère : l’équipe convoque immédiatement le multisig 3/4, rédige un correctif, le soumet pour révision, met en queue le déploiement timelocké. Vous pouvez attendre des mises à jour toutes les 24 heures lors d’une réponse critique.

​

Ce qu’il ne faut pas divulguer publiquement

Jusqu’à ce qu’un correctif soit déployé et que l’équipe Raydium coordonne la divulgation avec vous :

• Ne tweetez pas sur le résultat (même vague « j’ai trouvé quelque chose de gros »).
• Ne décrivez pas la classe de bug à des tiers.
• Ne partagez pas le code PoC avec quelqu’un d’autre que l’équipe de triage de Raydium.

Après le déploiement du correctif + fenêtre de divulgation coordonnée :

• Les writeups publics sont bienvenue et encouragés.
• Raydium fera une promotion croisée des writeups substantiels.
• Les chercheurs qui consentent à être nommés sont crédités sur le classement Immunefi Raydium.

​

Politique de port sûr

La recherche menée dans le périmètre et les règles ci-dessus est explicitement autorisée. Raydium :

• Ne poursuivra pas en action légale pour la recherche de bonne foi qui suit cette politique.
• N’interférera pas avec les activités de recherche (ex. liste noire des portefeuilles des chercheurs).
• Collaborera pour comprendre le résultat.

La recherche en dehors du périmètre ou des règles n’est pas protégée par le port sûr. Si votre plan de recherche est limite, demandez via le canal « Ask Project » d’Immunefi avant de tester.

​

Divulgations passées notables

Statistiques agrégées pour la bounty du code du programme depuis la création du programme (2021) :

• 200+ rapports dans le périmètre soumis dans tous les niveaux de gravité.
• 18 résultats de gravité critique payés, totalisant ~$2M.
• 60+ résultats de gravité élevée payés.
• Temps de réponse médian (triage initial) : 8 heures.
• 0 divulgations publiques qui ont contourné le processus coordonné.

Le Hall of Fame liste les chercheurs qui ont consenti à être nommés. Les rapports hors bounty (SDK / API / UI) sont suivis séparément et reconnus dans les notes de version du repo pertinent plutôt que sur le classement Immunefi.

​

Programmes associés

• Solana Foundation Bug Bounty — couvre les bugs du client validateur Solana (sealevel, consensus). Signalez là-bas pour les problèmes de couche Solana. solana.com/security.
• Squads Protocol Bug Bounty — couvre le multisig lui-même. squads.so/security.
• Immunefi — couvre de nombreux protocoles DeFi incluant Raydium. immunefi.com.

Un bug qui s’étend sur les couches (ex. un bug du validateur Solana qui se manifeste sur Raydium) doit être signalé à tous les programmes applicables.

​

Pointeurs

• security/audits — historique des audits antérieurs.
• security/admin-and-multisig — structure de l’autorité.
• security/attack-vectors — classes d’attaque connues.

Sources :

• Page de la bounty Raydium sur Immunefi — périmètre canonique, conditions de récompense et canal de contact.